Wtyczka LiteSpeed Cache dla WordPress w wersjach do 6.3.0.1 zawiera krytyczną podatność nieprawidłowego przypisania uprawnień (privilege escalation), umożliwiającą nieuwierzytelnionemu atakującemu przejęcie kontroli nad witryną. Podatność jest publicznie znana i dostępny jest dla niej działający exploit.
▸ Pokaż oryginał (EN)
Incorrect Privilege Assignment vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache.This issue affects LiteSpeed Cache: from n/a through <= 6.3.0.1.
Błąd polega na nieprawidłowym przypisaniu uprawnień (CWE-266), co pozwala osobie nieposiadającej żadnego konta na stronie WordPress na eskalację swoich uprawnień do poziomu administratora. Atakujący nie musi podawać żadnych danych uwierzytelniających ani wchodzić w interakcję z ofiarą — atak jest możliwy zdalnie przez sieć (wektor sieciowy, brak wymaganej interakcji użytkownika). Exploit dla tej podatności jest publicznie dostępny w bazie Exploit-DB.
Atakujący może uzyskać pełne uprawnienia administracyjne na stronie WordPress, co w praktyce oznacza możliwość przejęcia witryny, instalacji złośliwego oprogramowania, kradzieży danych lub dalszego kompromitowania infrastruktury.
Należy niezwłocznie zaktualizować wtyczkę LiteSpeed Cache do wersji wyższej niż 6.3.0.1. Szczegóły poprawki dostępne są w referencjach producenta oraz w bazie Patchstack.
Wtyczka LiteSpeed Cache dla WordPress w wersjach od n/a do 6.3.0.1 włącznie.
Publicznie dostępny exploit w bazie Exploit-DB (ID 52328) oraz w Packet Storm (ID 200819) znacząco obniża próg wejścia dla potencjalnych atakujących. Mimo braku wpisu w CISA KEV, obecność gotowego exploita wymaga pilnego działania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLitespeedtech Litespeed Cache
APPLitespeedtech1.9 – 6.4 (bez)
Powiązane podatności
LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania
Incorrect Privilege Assignment vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows ...
Relative Path Traversal vulnerability in LiteSpeed Technologies LiteSpeed Cache litespeed-cache allows Path Tr...
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in LiteSpee...
Missing Authorization vulnerability in LiteSpeed Technologies LiteSpeed Cache.This issue affects LiteSpeed Cac...